| Ingediend | 15 januari 2025 |
|---|---|
| Beantwoord | 3 maart 2025 (na 47 dagen) |
| Indiener | Emiel van Dijk (PVV) |
| Beantwoord door | van Weel |
| Onderwerpen | openbare orde en veiligheid organisatie en beleid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2025Z00386.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20242025-1495.html |
Ja.
Ik heb op dit moment geen informatie die aanleiding geeft tot vermoedens van het bestaan van andere casussen binnen de politie of de NCTV waar sprake is van de verdenking van het bezitten en/of naar buiten brengen van deze informatie. Ik heb op dit moment geen informatie dat er binnen de politie en NCTV nog andere systemen zijn waarbij er (signalen van) verdenkingen zijn van het bezitten en naar buiten brengen van staatsgeheime informatie.
Zie antwoord vraag 2.
Zoals reeds aan uw Kamer gemeld heeft de ADR geen persoonsgericht onderzoek gedaan, nu dit onder het strafrechtelijk onderzoek valt.
Het onderzoek van de ADR heeft zich toegespitst op de volgende onderzoeksvragen:
Op verzoek van mijn departement zijn daarbij aanvullend drie elementen in het onderzoek meegenomen:
Voor de bevindingen van de ADR op deze onderzoeksvragen verwijs ik naar het rapport dat ik uw Kamer op 13 december 2024 heb toegestuurd.
Deze vraag richt zich tot de ADR en kan ik daarom niet beantwoorden.
Zoals reeds aan uw Kamer gemeld heeft de ADR geen persoonsgericht onderzoek gedaan. Dat is aan het openbaar ministerie. De ADR heeft als uitgangspunt voor de werking van systemen de periode van 1 oktober 2023 tot en met 1 oktober 2022 genomen.
De ADR heeft zich met haar onderzoek, zoals ook in het antwoord op vraag 4 benoemd, gericht op welke wijze de NCTV en politie hebben ingeregeld dat bijzondere informatie in de daarvoor gebruikte processen en systemen wordt behandeld conform het VIR-BI 2013 of de Rubriceringsregeling Politie 2015. Hiertoe behoort onder andere het mogelijk misbruik maken van deze processen en systemen. De focus van het ADR onderzoek lag op de afdeling Analyse Nationale Veiligheid van de NCTV en het CTER-cluster van de politie. Daarbij is door de ADR geen persoonsgericht onderzoek gedaan.
De medewerkers van de NCTV hebben toegang tot staatsgeheime informatie voor zover zij die nodig hebben in de uitoefening van hun werkzaamheden. Samenwerking in het kader van en toegang tot deze informatie vindt plaats op need to know-basis. Op deze toegang is een autorisatiebeleid van toepassing.
Medewerkers van de politie hebben toegang tot gerubriceerde en/of staatsgeheime informatie als dit nodig is voor de uitoefening van hun werkzaamheden. Op deze toegang is autorisatiebeleid van toepassing.
Omwille van de vertrouwelijkheid kan ik geen uitspraken doen over aantallen medewerkers.
De ADR heeft geen persoonsgericht onderzoek gedaan. Voor zover bekend zijn er geen personen waarvan wordt vermoed dat zij staatsgeheime informatie hebben verzameld, verspreid of op andere wijze naar buiten hebben gebracht buiten het lopende strafrechtelijke onderzoek.
Naar aanleiding van vraag 5 van de leden Six Dijkstra (NSC) en Mutluer (Groen Links-PvdA) d.d. 20 december 2024 nr 1187 heb ik relevante stukken geïnventariseerd en via separate Kamerbrief parallel aan deze beantwoordingaan uw Kamer verstrekt. De formulering van onderhavige vraag geeft mij geen concrete aanknopingspunten voor een andere of nadere inventarisatie van stukken. Ik ga er daarom vanuit dat met de stukken die worden verstrekt naar aanleiding van voornoemd informatieverzoek van de leden Six Dijkstra (NSC) en Mutluer (Groen Links-PvdA) mede aan het onderhavige verzoek is voldaan.
In algemene zin merk ik op dat de uitwerking van concrete maatregelen om misbruik te voorkomen grotendeels gerubriceerd zijn en om die reden niet openbaar gemaakt kunnen worden. Wel kan ik uw Kamer meegeven dat dit onderdeel zal zijn van het herhaalonderzoek van de ADR, waarover uw Kamer zal worden geïnformeerd.
Het onderzoek van de ADR was niet gericht op personen. Het onderzoek richtte zich op de vragen die zijn benoemd in vraag 4.
Informatie die verband houdt met de verdenking van het verzamelen dan wel verspreiden van staatsgeheime/vertrouwelijke informatie is onderdeel van het strafrechtelijk onderzoek. Het is niet aan mij als Minister van Justitie en Veiligheid om daar in te treden.
De ADR heeft geen persoonsgericht onderzoek gedaan. Ik kan verder niet ingaan op een individuele casus en zaken die raken aan het strafrechtelijk onderzoek
De ADR heeft geconcludeerd dat binnen de NCTV meer aandacht nodig was voor informatiebeveiliging. Sinds de aanhouding zijn veel maatregelen getroffen om dit te verbeteren. Zo is binnen elke afdeling opnieuw bepaald welke functionaris welke rechten heeft en zijn de meest verstrekkende rechten, zoals printen, beperkt tot enkele medewerkers. Daarbij wordt scherp gecontroleerd, aan de hand van een PDCA (Plan, Do, Check, Act)-cyclus die wordt ingericht, of gestelde regels worden gevolgd en of dit ordentelijk gebeurt. Hiervoor is onder meer een afdeling in oprichting die moet gaan toezien op Risicomanagement en Compliance binnen de NCTV. Ook wordt het beveiligingscoördinator (BVC)-cluster versterkt. Tot slot is een toezichtsplan opgesteld en zal dit jaarlijks worden geüpdatet. De taken in het toezicht worden daarin meegenomen. Voor een uitgebreide toelichting hierop verwijs ik naar de kabinetsreactie van 13 december 2024 en de bijbehorende bijlage.
Zie antwoord vraag 14.
In het rapport komt naar voren dat er door de concern audit wel aanbevelingen werden gedaan, maar dat deze niet altijd werden opgevolgd. Zo constateert de ADR dat de concern audit van de politie weliswaar aan de bel heeft getrokken over het ontbreken van integraal risicomanagement en intern toezicht, maar dat er niet is geacteerd op de aanbevelingen. De politie zal de doorwerking van interne audits versterken. De korpsleiding zal toezien op de opvolging en borging van aanbevelingen die door concernaudit worden gedaan. Tevens zal de politie bezien of de expertise van concern audit kan worden versterkt door politiemensen uit de operationele werkpraktijk toe te voegen aan audits op informatiebeveiliging.
De NCTV heeft besloten om onderzoeken van nieuwe medewerkers te prioriteren over herhaalonderzoeken van medewerkers die (dus) reeds in bezit waren van een verklaring van geen bezwaar. Dit om de capaciteit van de AIVD in het doen van veiligheidsonderzoeken niet verder te belasten, daar waar destijds de AIVD te maken had met lange doorlooptijden. Dit sloot overigens aan bij de departementale lijn van dat moment om herhaalonderzoeken uit te stellen, tenzij er dringende omstandigheden waren die noodzaakten tot een snel herhaalonderzoek. Ik wil daarbij benadrukken dat het uitvoeren van herhaalonderzoeken van groot belang is. Zoals geschetst in de kabinetsreactie op het ADR-rapport van 13 december jl. zijn – waar nodig – herhaalonderzoeken met spoed aangevraagd en mitigerende maatregelen getroffen op het gebied van toegang tot informatie. Daarnaast heeft de NCTV maatregelen genomen om het beleid ten aanzien van het tijdig aanvragen van herhaalonderzoeken en het melden van gewijzigde omstandigheden bij vertrouwensfunctionarissen aan de BVA aangescherpt na te leven. Hiermee is het beleid ten aanzien van het aanvragen van herhaalonderzoeken op orde.
Ik kan niet ingaan op individuele gevallen. In algemene zin kan ik u informeren dat in 2019 in intern beleid van de NCTV de hoogte van het veiligheidsonderzoek per functie opnieuw is bepaald. Zo moesten analisten van de afdeling Analyse vanaf dat moment een VGB-A hebben. Het klopt dat voor analisten die op dat moment een VGB-B hadden niet direct een VGB-A is aangevraagd daar waar dat gezien de nieuwe functie wel had gemoeten. Er is voor gekozen om deze mee te nemen bij de aanvraag voor een herhaalonderzoek. Zoals ook is benoemd in de kabinetsreactie die uw Kamer op 13 december 2024 met de daarbij behorende bijlage ontving, zijn hiervoor inmiddels maatregelen getroffen zodat ervoor is zorggedragen dat alle medewerkers van de NCTV in het bezit van een geldige VGB. In het verlengde hiervan wijs ik erop dat een veiligheidsonderzoek nooit de enige mitigerende maatregel kan zijn om informatiebeveiliging te versterken, maar dat een samenspel van maatregelen noodzakelijk is.
Voor het uitoefenen van tolk- en vertaalwerkzaamheden bij de politie zijn bepaalde eisen vastgelegd. Naast inschrijving in het landelijke tolkenregister, waarbij onder andere het overleggen van een verklaring omtrent gedrag vereist is, screent de politie ook zelf tolken en vertalers. De benodigde screening is afhankelijk van het type inzet. De verdachte heeft wel een screening gehad bij aanvang van zijn werkzaamheden bij de politie. Een herscreening heeft niet meer plaatsgevonden. De politie is hier destijds te laat achter gekomen. Dit vergt dat de politie richting de toekomst scherper moet zijn op naleving van geldende procedures en voorschriften die als waarborg dienen voor het beveiligen van bijzondere informatie.
Met de implementatie van het Besluit screening ambtenaren van politie en politie-externen is de herhaalscreening bij wet geregeld. Ook is de continucontrole in deze wet opgenomen waarbij registraties bij JustiID automatisch worden gemeld bij de politie. Daarnaast is na dit onderzoek het sceeningsniveau van de tolk/vertalers verhoogd.
Volledigheidshalve merk ik op dat er voor werkzaamheden bij de politie in beginsel sprake is van een politiescreening en niet van een verklaring van geen bezwaar. De politie heeft reeds verduidelijkt voor welke functies binnen het CTER-cluster een AIVD-A VGB nodig is. De politie zal concretiseren in welke gevallen tolken die bij het CTER-cluster werken bovenop hun politie screening (op een hoger niveau dan voorheen) een AIVD-A VGB nodig hebben.
Het is niet mogelijk om alle potentiële veiligheidsrisico’s uit te sluiten. Beveiligingsmaatregelen zoals een VGB (voor werkzaamheden bij de NCTV) of een politiescreening (voor werkzaamheden bij politie) dragen bij aan het verlagen van deze risico’s. Een veiligheidsonderzoek is het sluitstuk van al die beveiligingsmaatregelen. Het is niet te voorspellen of de verdachte destijds eerder in beeld zou zijn gekomen bij dergelijke screenings.
Ten aanzien van alle NCTV medewerkers voor wie dat relevant is geldt dat een (herhaal)veiligheidsonderzoek bij de AIVD is aangevraagd, loopt of inmiddels is afgerond. Ten aanzien van een aantal medewerkers zijn vervolgens mitigerende maatregelen getroffen in afwachting van de uitkomst van een hernieuwd veiligheidsonderzoek van de AIVD.
Ook is de NCTV, met advies van de Beveiligingsautoriteit van het Ministerie van Justitie en Veiligheid (hierna: BVA), gestart met de 5-jaarlijkse actualisatie van de lijst vertrouwensfuncties, zodat deze aansluit bij de laatste inzichten. Tot slot heeft de NCTV maatregelen genomen om het beleid t.a.v. het tijdig aanvragen van herhaalonderzoeken en het melden van gewijzigde omstandigheden bij vertrouwensfunctionarissen aan de BVA aangescherpt na te leven.
De politie heeft mij laten weten dat medewerkers van het CTER-cluster beschikken over het juiste screeningsniveau. Daarnaast worden alle tolken en vertalers die werkzaam zijn bij of ingehuurd worden door de politie (dus niet alleen specifiek bij het CTER cluster) momenteel opnieuw gescreend. Hierbij zal de politie deze groep functionarissen op een hoger niveau dan voorheen screenen. De politie heeft reeds verduidelijkt voor welke functies binnen het CTER-cluster een AIVD-A screening nodig is. De politie zal concretiseren in welke gevallen tolken die bij het CTER-cluster werken bovenop hun politie screening (op een hoger niveau dan voorheen) een AIVD-A screening nodig hebben.
Zie antwoord vraag 21.
Zie antwoord vraag 21.
Zoals reeds aangegeven kan ik niet ingaan op de individuele casus.
De ADR is ook verzocht om specifiek aandacht te hebben voor de berichtgeving over eerdere signalen en de (wenselijkheid van de) samenloop van functies. Uit het ADR rapport komt niet naar voren dat er principiële bezwaren tegen de samenloop van functies waren of zijn. De ADR komt dan ook niet tot aanbevelingen op dit punt.
Zoals aangegeven in de kabinetsreactie is de casus aanleiding geweest om te concluderen dat de combinatie van functies en vooral ook de bijbehorende informatiepositie per functie gewogen moeten worden bij verzoeken tot eventuele samenloop, omdat een grotere informatiepositie kan leiden tot grotere risico’s bij schending van de geheimhoudingsplicht. Dat zal nadrukkelijker gewogen worden, waarbij vooropstaat dat dit altijd per geval en op basis van de omstandigheden van dat geval moet worden beoordeeld. Ook vraagt zo’n eventuele samenloop om een kritische periodieke evaluatie naar de houdbaarheid daarvan, waarbij actief eventuele signalen ten aanzien van de samenloop en informatiepositie worden meegenomen.
Ik kan geen uitspraken doen over de functies van individuele werknemers.
Het is niet mogelijk een verband te duiden tussen zijn vermeende status en hetgeen waarvan hij wordt verdacht.
Over de signalen over de analist/tol en de opvolging daarvan verwijs ik naar hetgeen opgenomen in het ADR rapport. Voor het overige acht ik het niet zinvol om te speculeren.
De ADR constateert dat signalen niet altijd als zodanig werden herkend of doorgegeven. Daardoor kwamen mogelijke signalen niet op de plek waar het mogelijk tot maatregelen had geleid. Om dit te verbeteren zijn per organisatie maatregelen getroffen, zoals ook in de kabinetsreactie toegelicht. Bij nevenfuncties is het van belang dat bij signalen ook aandacht is voor de mogelijke noodzaak tot het leggen van contact met de counterpart bij de andere organisatie om te toetsen of daar ook signalen zijn. Dat moet onderdeel zijn van het maatwerk dat nodig is in de opvolging van signalen en moet op het juiste niveau worden gewogen. Ten aanzien van samenloop van functies verwijs ik u naar de beantwoording van vraag 25.
Zie antwoord vraag 28.
Het is niet toegestaan om vertrouwelijke informatie te delen met personen die daartoe niet bevoegd zijn en waarvoor geldt dat de informatie niet nodig is voor een goede uitoefening van de taak. Er zijn veel maatregelen getroffen om de uitwisseling van vertrouwelijke informatie beter te borgen. Voor een uitgebreide toelichting daarop verwijs ik naar de Kabinetsreactie en bijbehorende bijlage die op 13 december jl. aan uw kamer is toegestuurd.
Het ADR rapport verwijst naar een feitenrelaas van de politie waaruit naar voren komt dat de tolk in 2018 buiten kantoortijd wordt aangetroffen in een werkruimte terwijl hij ogenschijnlijk een kast doorzoekt. De medewerker van CTER heeft dit naar eigen zeggen mondeling gemeld aan zijn leidinggevende maar deze herinnert zich de melding niet. Dit voorval heeft niet geleid tot een vervolgactie.
Ik merk op dat niet duidelijk is of er is gemeld dat de tolk buiten kantoortijd aanwezig was of ogenschijnlijk een kast doorzocht. Ik acht het niet opportuun om met de kennis van nu informatie uit het verleden te herwaarderen.
Voor de reactie t.a.v. de constatering van de ADR dat voorvallen niet altijd als signaal zijn opgevat, verwijs ik naar het antwoord op vragen 27 en 28 en de Kabinetsreactie en bijbehorende bijlage die op 13 december jl. aan uw Kamer is toegestuurd.
In zijn algemeenheid geldt dat als iemand ook werkzaam is (geweest) bij bijvoorbeeld de politie of de AIVD, dat diegene dan gebonden is aan de geheimhoudingsverklaring die hij of zij bij die organisatie heeft getekend. Het is niet toegestaan om deze informatie te delen binnen de NCTV.
Zoals uit het ADR-rapport valt op te maken is er in de loop van 2021 contact geweest tussen de Nationaal Coördinator en de politie naar aanleiding van een publicatie in NRC. In 2022 is besloten om in samenspraak met de analist over te gaan tot een overplaatsing van de analyse-afdeling naar de NCTV Academie.
Voor het antwoord op deze vraag verwijs ik naar de Kabinetsreactie die op 13 december jl. aan uw Kamer is toegestuurd. De bewuste medewerker had toestemming voor het gebruik van een beperkt aantal specifieke datadragers die vanuit de werkgever waren verstrekt. De journalist in kwestie stelde tijdens het interview echter dat er sprake zou zijn van het gebruik van een eigen harde schijf. Het gebruik van een privéschijf zou een veiligheidsincident zijn. Dit is, op basis van de toen beschikbare informatie, zorgvuldig uitgelopen door de NCTV. Geconcludeerd is dat er geen sprake was van het gebruik van een privéschijf. Dat misbruik van datadragers in zijn algemeenheid nadere aandacht had verdiend, onderschrijf ik. Om deze reden worden datadragers alleen nog beperkt in noodzakelijke gevallen, voor een specifiek doel en na voorafgaande instemming van een leidinggevende uitgegeven.
Ik acht het niet opportuun om uitspraken of gevoelens van individuele medewerkers in samenwerkingen met andere medewerkers te waarderen. Ten aanzien van een samenloop van functies verwijs ik u naar de beantwoording van vraag 25.
Ik herken mij niet in het beeld dat de melding niet verder is onderzocht ondanks het advies van het Openbaar Ministerie. Voor de afhandeling van de specifieke melding verwijs ik naar het ADR rapport.
De mededeling van de inspecteur-generaal van de Inspectie JenV dat er uit onderzoek van de inspectie JenV bij CTER signalen kwamen dat er spanningen waren rondom de analist/tolk zijn toentertijd geplaatst in de context dat er binnen de politie altijd veel discussie is over tolken vanwege o.a. het verschil in financiële vergoeding tussen tolken en politiepersoneel. De Nationaal Coördinator heeft aan de inspecteur-generaal aangegeven het signaal bij de politie te melden omdat het betrekking had op het werk van de analist/tolk bij de politie en niet op de werkzaamheden van betrokkene bij de NCTV.
Nee, dit is niet wenselijk en niet toegestaan.
Ik herken mij niet in het beeld dat er geen moeite is gedaan om informatie en dossiers af te schermen voor hen die hier niet bij hoeven vanwege hun werkzaamheden. Wel onderschrijf ik de boodschap van de ADR dat de informatiebeveiliging en het toezicht daarop beter kan en moet, volledig en worden de aanbevelingen omarmd. Sinds de aanhoudingen zijn er binnen de NCTV en politie direct maatregelen getroffen. Het gaat dan om zowel noodmaatregelen als gelijktijdig ingezette maatregelen gericht op de lange(re) termijn. Voor een overzicht de maatregelen die zijn getroffen verwijs ik u naar de kabinetsreactie op het rapport van de ADR van 13 december jl. en de bijlage daarbij.
Het is nooit met zekerheid uit te sluiten dat er misbruik wordt gemaakt van bevoegdheden en toegang tot informatie. Er zijn aanvullende maatregelen getroffen om deze toegang te beperken en mogelijk misbruik te identificeren. Daarvoor verwijs ik naar de Kabinetsreactie van 13 december jl. en bijbehorende bijlage.
De politie zal onderzoeken of het nodig is om het aantal personen te beperken dat in Summ-IT gemachtigd is om andere toegang te geven. Het feit alleen dat een relatief groot aantal personele hiertoe gemachtigd is hoeft niet in strijd te zijn met het need to know principe. In de operationele werkpraktijk van de politie bestaat dikwijls de noodzaak nieuwe personen bij een zaak te betrekken, bijvoorbeeld omdat een (grootschalig) onderzoek 24/7 doorgaat en/of bij een onderzoek verschillende specialismes moeten worden betrokken.
De politie had reeds ingeregeld dat Summ-IT accounts na verloop van tijd automatisch op niet actief worden gezet, waardoor het account niet langer bruikbaar is en er geen toegang meer kan worden verkregen tot zaken in Summ-IT. Daarmee is er sprake van een geautomatiseerde periodieke controle. De politie zal onderzoeken of een meer fijnmazige aanpak nodig is, bijvoorbeeld het mogelijk maken van variatie in de periode waarna een account op non-actief wordt gesteld.
Toegang tot bijzondere informatie, waaronder in het bijzonder staatsgeheime informatie, op «need to know»-basis was binnen de NCTV altijd een uitgangspunt. Tegelijkertijd heeft het genoemde incident aangetoond dat een aanscherping van de getroffen maatregelen nodig was en dat de toegang tot het documentatiesysteem te ruim was ingericht. Dit is nu steviger ingericht conform het «need to know» principe. Alleen die personen die dit ook echt nodig hebben voor hun werk mogen documenten inzien. Ook het staatsgeheime digitale archiefsysteem is nog maar beperkt toegankelijk, en inzage kan alleen na toestemming van een directeur op een specifieke vraag.
Bij de politie zijn de bestaande regels voor het raadplegen van politiesystemen ook reeds gebaseerd op het need to know principe. Het eerstelijns toezicht op het naleven hiervan wordt verscherpt.
Dit is de verantwoordelijkheid van de leidinggevende. Deze vraagt de autorisatie ook aan voor de medewerker.
De politie had reeds ingeregeld dat Summ-IT accounts na verloop van tijd automatisch op nietactief worden gezet, waardoor het account niet langer bruikbaar is en er geen toegang meer kan worden verkregen tot zaken in Summ-IT. Daarmee is er sprake van een geautomatiseerde periodieke controle. De politie zal onderzoeken of een meer fijnmazige aanpak nodig is, bijvoorbeeld het mogelijk maken van variatie in de periode waarna een account op non-actief wordt gesteld.
Autorisaties voor systemen worden toegekend naar gelang het nodig is voor de functie en werkzaamheden. Hierbij wordt ook gekeken naar het screeningsniveau. Bij wijziging of beëindiging van de werkzaamheden en/of functie worden de autorisaties ingetrokken of gewijzigd.
Of het noodzakelijk is om autorisaties te beperken en wat gevolgen zijn voor de organisatie hangt af van de omstandigheden van het geval. Zoals toegezegd in de Kabinetsreactie wordt onderzocht of het bij de politie nodig is om het aantal personen te beperken dat in Summ-IT gemachtigd is om andere toegang te geven. Het feit alleen dat een relatief groot aantal personele hiertoe gemachtigd is hoeft niet in strijd te zijn met het need to know principe. In de operationele werkpraktijk van de politie bestaat dikwijls de noodzaak nieuwe personen bij een zaak te betrekken, bijvoorbeeld omdat een (grootschalig) onderzoek 24/7 doorgaat en/of bij een onderzoek verschillende specialismes moeten worden betrokken.
Zie antwoord vraag 48.
De politie heeft maatregelen getroffen om te verzekeren dat tolken zelf passende faciliteiten hebben om hun werk te doen. Tolken hebben een eigen basispolitieaccount met zeer beperkte toegangsrechten. Er zijn faciliteiten om veilig te werken op politielocaties en er zijn veilige digitale middelen beschikbaar om bij hoge uitzondering werkzaamheden vanaf afstand uit te voeren. Volgens geldend beleid voert een tolk zijn/haar werkzaamheden altijd uit in de nabijheid van een politiemedewerker.
Aan tolken worden geen autorisaties verleend door rechercheurs. Tolken hebben een eigen basispolitieaccount met zeer beperkte toegangsrechten. De autorisatie voor een tolk wordt toegekend door de leiding van het onderzoek.
De situatie dat een tolk autorisaties krijgt van een rechercheur is niet toegestaan, dus van een toezicht daarop is geen sprake.
Dit is niet wenselijk en niet toegestaan.
Medewerkers van de politie hebben toegang tot vertrouwelijke informatie als dit nodig is voor de uitoefening van hun werkzaamheden. Op deze toegang is autorisatiebeleid van toepassing.
Het is van belang dat wordt voldaan aan de algemene verordening gegevensbescherming. Om die reden wordt er regelmatig en met klem op gewezen dat persoonsgegevens moeten worden verwijderd van schijven, mailboxen en informatiesystemen.
Zoals ook in de kabinetsreactie is geschetst had de mannelijke verdachte een beperkt aantal specifieke USB-sticks tot zijn beschikking.
Zoals ook gemeld in de beantwoording van vraag 18 van de leden Six Dijkstra (Nieuw Sociaal Contract) en Mutluer (Groen Links-PvdA) van 31 januari jl. geeft het ADR rapport aan dat volgens de administratie circa 200 USB sticks in omloop zijn die mogelijk staatsgeheime informatie bevatten. In het ADR Rapport is tevens opgenomen dat de NCTV heeft aangegeven dat het aantal lager is dan 200. Ter nadere context geef ik nog het volgende mee. Het gaat om USB-sticks die tot september 2021 bij de NCTV werden gebruikt om bijvoorbeeld presentaties op te slaan die ergens anders gegeven moesten worden. Het ging hierbij veelal om presentaties voor gemeenten en lokale partners om de dreiging te duiden, waarbij geen staatsgeheime informatie werd gebruikt. Een zeer beperkt aantal werd daadwerkelijk gebruikt voor staatsgeheime informatie, bijvoorbeeld om informatie over te zetten van het interdepartementale staatsgeheime netwerk dat in beheer is bij de AIVD, op het netwerk voor de staatsgeheime informatie binnen de NCTV. Dit zijn twee stand alone netwerken die niet op elkaar aangesloten zijn. Verder is het van belang om te melden dat het om USB’s gaat die beveiligd waren met een wachtwoord. Mocht een USB vermist raken, dan is de informatie dus niet zomaar voor een ieder toegankelijk. Ook passen deze USB-sticks sinds september 2021 niet meer op het staatsgeheime netwerk. De informatie die erop staat is dus niet zomaar voor een ieder toegankelijk en ze kunnen niet meer gebruikt worden om informatie van de huidige systemen af te halen.
In het verlengde hiervan beschikt de NCTV over een loggingssysteem van de meest relevante handelingen die medewerkers op het netwerk voor de verspreiding van staatsgeheime informatie verrichten. Hierbij kan gedacht worden aan het opslaan, openen en printen van bestanden op het staatsgeheime netwerk. De ADR heeft geconstateerd, dat hoewel dit systeem er al was, er onvoldoende monitoring en controle op de daadwerkelijke handelingen van medewerkers plaatsvond. Dit moet beter. Daarom wordt meer toegezien op handelingen van medewerkers rond het verwerken van staatsgeheime informatie en is de aandacht voor misbruik onder andere verstevigd door veel duidelijkere kaders te stellen voor de individuele medewerkers waar zij op aangesproken worden.
Zie antwoord vraag 56.
Er is bij de politie reeds een pilot gedraaid met protective monitoring waarmee gebruikershandelingen proactief en geautomatiseerd worden geanalyseerd op atypische signalen om onrechtmatig gebruik van systemen te detecteren. Per 1 januari 2025 is protective monitoring ingevoerd in de gehele politieorganisatie. Deze informatie is tevens opgenomen in de kabinetsreactie die op 13 december jl. aan uw Kamer is toegezonden.
Het toezicht op de beveiliging van staatsgeheime informatie was aanwezig. Wel is uit het ADR-rapport gebleken dat dit toezicht moest worden versterkt. Hiervoor is onder meer een afdeling in oprichting die moet gaan toezien op Risicomanagement en Compliance binnen de NCTV. Ook wordt het beveiligingscoördinator (BVC)-cluster versterkt. Tot slot is een toezichtsplan opgesteld en zal dit jaarlijks worden geüpdatet. De taken in het toezicht worden daarin meegenomen. Voor een uitgebreide toelichting hierop verwijs ik naar de kabinetsreactie van 13 december 2024 en de bijbehorende bijlage.
Ja, dat is van belang. Voor maatregelen die op dit vlak getroffen zijn verwijs ik naar de kabinetsreactie op het ADR-rapport en de daarbij horende bijlage van 13 december jl.
Het beleid bij de NCTV t.a.v. informatiebeveiliging is geactualiseerd. In dit beleid zijn de vereisten van het VIR, de BIO en het VIR-BI opgenomen. De uitwerking van dit beleid in concrete maatregelen is een doorlopend proces. Dat houdt in dat wordt getoetst of de praktijk aansluit bij het beleid of dat aanpassingen in de werking of de praktijk nodig zijn. Waar nodig worden aanvullende maatregelen getroffen. Hier vindt ook scherpe controle op plaats. Voor een nadere toelichting verwijs ik naar de beantwoording van de vragen 14, 15, 59 en de kabinetsreactie van 13 december 2024 en de bijbehorende bijlage.
De politie heeft begin 2025 haar Rubriceringsregeling geactualiseerd. De nieuwe rubriceringsregeling sluit nu beter aan bij de rubriceringsregeling van de Rijksoverheid: het VIR-BI. De politie is weliswaar geen onderdeel van de Rijksoverheid, maar op het gebied van informatiebeveiliging is nu gekozen om zoveel mogelijk aan te sluiten bij het beleid van de Rijksoverheid. De ADR heeft geconstateerd dat er veel bruikbaars op papier is bij de politie (beleid, werkinstructies), maar dat implementatie in de praktijk aandacht vergt. Hiertoe worden verschillende stappen gezet om de implementatie daarvan in de praktijk te verbeteren en de PDCA-cyclus sluitend te maken.
De procedure rond gegevensdragers is aangepast, waardoor toestemming is vereist voor het verkrijgen – en het kunnen gebruiken – van de gegevensdragers. De administratie is verbeterd waarbij ontvangst, inname en vernietiging worden geregistreerd. Zo kan er geen twijfel meer over bestaan dat dit niet zomaar de bedoeling is en dat dit gecontroleerd wordt op mogelijk misbruik.
Zoals aangegeven in de kabinetsreactie is, zoals ook gemeld in de Kamerbrief van 8 december 2023, goed bezien welke informatie – met het oog op de zorgvuldigheid en de veiligheid die moet worden betracht – niet openbaar gemaakt kan worden. Dat heeft ertoe geleid te besluiten om enkele passages, waaronder passages waar deze vraag aan refereert, uit het rapport niet openbaar te maken, omdat deze ofwel2 de belangen van de Staat kunnen schaden dan wel3 veiligheidsrisico’s opleveren omdat concreet inzicht wordt gegeven in de operationele werkwijze van de politie. Ik kan derhalve op dit punt geen nadere informatie verstrekken dan de informatie die reeds aan uw Kamer is toegekomen.
Zie antwoord vraag 63.
De opvolging van de aanbevelingen van de ADR is niet met een enkele toegespitste maatregel te bereiken.
Voor de maatregelen die zijn getroffen om ongewenste verspreiding van bijzondere informatie te voorkomen verwijs ik naar de Kabinetsreactie en bijbehorende bijlage die op 13 december jl. aan uw Kamer is toegezonden. Voorbeelden van concrete maatregelen die door de NCTV zijn getroffen zijn:
De omvangrijke stappen die reeds sinds de aanhoudingen en naar aanleiding van het ADR rapport zijn gezet illustreren dat de aanbevelingen met de nodige urgentie en zorgvuldigheid zijn opgepakt en zullen blijven worden opgepakt. Er zal in het verdere proces continu getoetst worden waar nog verdere verbeteringen doorgevoerd kunnen worden.
De NCTV houdt rekening met het feit dat alle typen gerubriceerde informatie in meer of mindere mate zijn gecompromitteerd.
Ik kan niet ingaan op het individuele geval.
Omwille van de vertrouwelijkheid kan ik geen uitspraken doen over aantallen en functies van individuele werknemers. Wel kan ik uw Kamer in algemene zin meegeven dat het gaat om een zeer beperkt aantal. Ten aanzien van het bekleden van dubbelfuncties verwijs ik u naar de beantwoording van vraag 25.
De ADR heeft geen persoonsgericht onderzoek gedaan, zoals reeds meermaals aan uw Kamer gemeld. Ik kan niet ingaan op zaken die raken aan het strafrechtelijk onderzoek, waar deze vraag op ziet.
Voor het staatsgeheime digitale archiefsysteem waren reeds maatregelen ingericht in lijn met het «need to know» principe. Deze procedures voor dit archiefsysteem zijn aangescherpt naar aanleiding van deze casus. Dit betekent dat alleen die medewerkers de documenten te zien krijgen die dit ook echt nodig hebben voor hun werk. Ook het archief is nog maar beperkt toegankelijk, en inzage kan alleen na toestemming van een directeur op een specifieke vraag. De politie werkt niet met het staatsgeheime digitale archiefsysteem.
Ten aanzien van het loggingsysteem van de NCTV verwijs ik u naar de beantwoording van vraag 56. De politie stelt zelf geen staatsgeheime documenten op, maar kan deze wel ontvangen van partners. Er vindt logging plaats binnen het systeem van de politie waarin dit type informatie wordt ontvangen.
Er is geen sprake van een open autorisatie. Autorisaties worden door de leiding toegekend aan de hand van werkzaamheden en screeningsniveau. Het is dan ook niet toegestaan elkaar toegang te verlenen.
Sinds de aanhoudingen zijn er binnen de NCTV en politie direct maatregelen getroffen. Het gaat dan om zowel noodmaatregelen als gelijktijdig ingezette maatregelen gericht op de lange(re) termijn. Voor een overzicht van deze maatregelen verwijs ik u naar de kabinetsreactie op het ADR-rapport van 13 december en de bijlage daarbij.
Zoals ook aangegeven in de bijlage bij de kabinetsreactie heeft de politie reeds maatregelen getroffen om te verzekeren dat tolken passende faciliteiten hebben om hun werk te doen. Tolken hebben een eigen basispolitieaccount met zeer beperkte toegangsrechten. Er zijn faciliteiten om veilig te werken op politielocaties en er zijn veilige digitale middelen beschikbaar om bij hoge uitzondering werkzaamheden vanaf afstand uit te voeren. De politie inventariseert momenteel of er voldoende veilige faciliteiten zijn voor tolken op politielocaties. Zo niet, dan zal het aantal faciliteiten worden uitgebreid.
Verder is de politie reeds gestart met het opstellen van een gedetailleerd werkproces op basis van het geldende beleid, zodat relevante teams en personen eenvoudig praktische informatie voorhanden hebben inzake het veilig werken met tolken
Hierbij deel ik u mede dat de schriftelijke vragen van het lid Emiel van Dijk (PVV), van uw Kamer aan de Minister van Justitie en Veiligheid over het bericht inzake het Rapport dat de beveiliging staatsgeheimen NCTV en politie niet op orde is (ingezonden 15 januari 2025) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.